- 综合排序
- 最热优先
- 最新优先
Hadess实战教程系列 - 如何使用推送规则和制品扫描提高制品安全
Hadess 的推送规则与制品扫描,正是为保障企业级项目交付质量与安全而设计。推送规则从源头规范每一次代码提交,而制品扫描则为构建结果提供深度的安全洞察。 阅读本文,您将掌握如何配置这两大关键环节,为您的制品注入坚实的可靠性1、制品推送规则基于角色的制品推送权限控制,通过精确分配推送权限,确保只有授权成员或角色才能向制品库提交内容,从源头保障制品安全与合规 1.2 使用保存后,除选择的角色或成员可推送制品外,其余用户都无法推送制品到该制品库中报错内容会显示104也就是没有权限2、制品扫描制品扫描功能通过自动化检测识别制品中的安全漏洞与合规风险,确保只有安全可靠的制品才能进入生产环境 ,从源头保障软件供应链安全2.1 创建计划1.进入Hadess后,点击左侧制品扫描进入后点击添加计划2.根据内容填写完成后,点击确定即可3.进入你创建的计划,点击右侧添加制品根据真实需求选择要添加的制品 2.2 执行扫描1.添加完成后,点击右上角扫描按钮进行制品扫描等待扫描完成即可2.扫描完成后可点击扫描报告进行查看,也可以点击扫描报告右侧日志按钮进行日志查看
16265编辑于 2025-11-28Hadess实战教程系列 - 使用制品扫描消除安全漏洞
在严谨的软件交付流程中,制品的质量与安全不应是“可选项”,而必须是通往生产环境的“强制关卡”。Hadess制品扫描正是这样一道核心防线。 阅读本文,确保每一个交付物都安全、可信1、制品扫描使用指南制品扫描通过自动化检测,精准拦截含漏洞的制品,确保环境安全无忧1.1 添加扫描计划1.登入Hadess后点击左侧制品扫描进入该页面2.进入页面后 点击添加计划跳出创建页面3.我们根据真实的需要来取对应的名称即可,制品库选中你需要扫描的仓库,扫描方案选择Maven扫描方案1.2 添加制品1.创建完成后进入你刚刚创建的扫描计划中,进入后点击右侧的添加制品 2.选中你需要扫描的制品,点击确定即可1.3 执行扫描1.制品添加完成后,点击右上角扫描按钮等待扫描完成即可2.扫描完成后,会提示扫描成功可以直接在日志中进行详细查看扫描内容3.也可以点击扫描报告查看详细扫描问题分类等
17965编辑于 2025-11-28- 来自专栏运维专栏
kubernetes 基于jenkins spinnaker的cicd实践一增加制品镜像扫描
当然了第一步我觉得还是少了镜像的扫描的步骤,先搞一波镜像的扫描! 流水线集成了harbor中自动扫描,扫描完成了继续来harbor中登陆确认镜像有没有漏洞吧? 随之而来的问题: 如何扫描私有仓库镜像? 高危漏洞检测未能通过FAIL,哈哈哈哈 但是流水线总算是跑通了: [image.png] [image.png] 比较一下Trivy与anchore-engine 拿spinnaker-nginx-demo 107制品镜像来对比 ,制品标签为harbor.xxxx.com/spinnaker/spinnaker-nginx-demo:202111201116: anchore-engine报告: [1637378433641-144a7c88
1.4K81发布于 2021-11-20 - 来自专栏云原生应用工坊
DevSecOps 中的制品安全:为什么漏洞扫描必须前置到 CI
这正是为什么,制品安全必须前置到 CI 阶段,而不是事后补救。为什么漏洞扫描不能放到部署之后?从工程视角看,把漏洞扫描放到 CI 之后、甚至上线之后,至少会带来三类问题:第一,修复成本急剧上升。 第三,也是最致命的一点:你已经允许一个不可信的制品进入了系统边界之内。安全体系一旦在这里妥协,后续所有防护都只能是止损,而不是防御。CI 阶段漏洞扫描解决的是什么问题? 以 Trivy 这类工具为代表的漏洞扫描,并不是为了“消灭所有漏洞”,而是为了解决一个更基础的问题:这个制品当前的风险状态是什么? 在 CI 中引入自动化漏洞扫描,可以明确做到三件事:把已知高危漏洞显式暴露出来用机器可执行的规则阻断高风险制品让“是否允许发布”成为一个可审计的决策,而不是经验判断例如,在构建完成后直接对镜像进行扫描, 在这种攻击路径下,漏洞扫描并不能保证你绝对安全,但它至少可以确保一件事:你不是在“完全无感知”的情况下,把一个高风险制品推向生产环境。安全的第一步,不是防御未知攻击,而是不要忽视已知风险。
17710编辑于 2025-12-23 - 来自专栏亨利笔记
云原生制品那些事(3):OCI 制品Artifact
第一篇:容器镜像的结构 第二篇:OCI 镜像规范 第三篇:OCI 制品 第四篇:Registry 的作用原理 《Harbor权威指南》目前当当网优惠中,点击下图直接购买。 无论是否有镜像索引,在镜像结构定义中都没有涉及层文件所包含的内容,也就是说,不同用途的数据如 Helm Chart、CNAB 等制品,可依照 OCI 镜像规范定义的结构(清单、索引等)把内容打包到层文件里面 CSDN等网站转载亨利笔记的文章均为未经授权的剽窃) 为了和 OCI 镜像做区分,这种遵循 OCI 清单和索引的定义,能够通过 OCI 分发规范推送和拉取的内容,可以统称为 OCI Artifact(OCI制品 ),简称 Artifact(制品)。 开发者如果希望自定义一种新的Artifact类型,就可以按照 OCI 的制品作者指导文档(ArtifactAuthor Guidance)来定义配置、清单、索引等结构,可分4个步骤来完成。
1.2K30编辑于 2023-04-18 - 来自专栏DevOps实践之路
聊聊DevOps制品管理-不止是存储制品这么简单
什么是制品? 制品是指由源码编译打包生成的二进制文件,不同的开发语言对应着不同格式的二进制文件;这些二进制文件通常用于运行在服务器上或者作为编译依赖,“制品的管理”是配置管理的重要组成部分。 制品管理工具 如上所述,由于制品管理的重要性,所以衍生出来对应的制品解决方案用来统一管理不同格式的软件制品。 除了基本的存储功能,还提供了版本控制、访问控制、安全扫描、依赖分析等重要功能,最终建立“单一可信源”,是一种企业处理软件开发过程中产生的所有包类型的标准化方式。 也许也是看到单独的制品管理工具,比大而全的DevOps平台更好的切入用户场景吧。 如何管理制品? 为了统一管理不同语言格式的包,以上制品管理工具几乎都按照如下方式管理组织制品。 如果所示,组织需要引入组件审核制度,杜绝开发人员随意的拉取互联网的开源制品,并且建立实时的漏洞扫描机制,形成组织级的白名单仓库。
2K30编辑于 2023-05-16 - 来自专栏DevOps
【DevOps系列】升级你的制品:探讨制品晋级的战略
我们知道,在DevOps模式下或CI/CD流水线中,制品管理起着承上启下的关键作用,它对这些制品进行统一的管理。所以说,制品对持续集成而言是终点,同时也会是持续发布或者持续运营的起点。 对可部署的制品,运维团队可以基于制品包发起部署操作,并拉取相应环境下的服务;对于需要进入市场的发布包,运营团队可以基于制品包,分发至不同的市场渠道。 02制品晋级治理的方案经过上文的阐述,我们认识到仅凭简单的制品版本号信息,难以准确判断制品是否已达到可交付的标准。在此背景下,一个科学合理的制品晋级治理方案显得尤为重要。 图 3 中展示了制品晋级整体方案的核心要点。在制品等级划分方面,我们可以根据具体业务需求,灵活选择最适合的方式。同时,制品晋级规则在某种程度上,也反馈出了团队实施制品晋级治理时面临的业务实际约束诉求。 随后,在制品库内执行预设的晋级规则,为同一制品在其生命周期的不同阶段赋予相应的“晋级”标识(即打上不同的等级标签)。紧接着,部署工具会从制品库中提取所需制品,并对接相应的环境进行部署操作。
58010编辑于 2024-12-12 - 来自专栏DevOps时代的专栏
制品属性应用实践:制品与测试报告双向追溯
本文主要介绍如何实现制品与自动化测试报告的双向追溯。 何谓制品与测试报告双向追溯 软件制品是软件企业持续交付的目标产物,其质量是制品交付的重要属性。 图1 制品生命周期过程 制品与测试报告双向追溯,一方面,可以通过制品查看对应的测试报告;反之,根据测试报告也可以追溯所测制品的信息。 如何实现制品与测试报告双向追溯 1、实现制品追溯测试报告 通过为制品定义测试报告相关属性,我行实现了通过制品追溯对应的测试报告。 在制品库中,可在制品属性页查看测试报告链接地址,点击可跳转至自动化测试平台相关页面。 2、实现测试报告追溯制品 项目管理平台测试准出流程生成手工测试报告(功能、性能、安全)过程中,调用制品库接口实现测试制品以及自动化测试报告链接的关联选择。
50310编辑于 2023-12-06 - 来自专栏DevOps
保护你的制品:制品的安全策略与实践
01漏洞扫描的秘密漏洞扫描是对软件交付制品包进行深入分析,以发现并识别其中可能存在的安全漏洞的重要环节。 比如漏洞库里面已知某个包的特定几个版本有漏洞,并且制品中包含这个文件信息,扫描工具这时候会提示制品也包含了这个漏洞。02漏洞库扫描工具的局限 然而,此类工具也有它的局限性。 03如何有效利用漏洞扫描工具 所以,我们在使用漏洞扫描工具的同时,也需要采取一些额外的步骤来最大化寻找制品包中潜在漏洞的机会。 换句话说,就是我们希望在制品里塞进尽可能多的功能,但又希望让漏洞扫描工具能轻松地检查每一个角落。 其次,早期扫描可以阻止有问题的制品上传到制品库中,或者对外开放下载。这样,在开发过程中可以确保引用的都是安全的依赖,将不安全的应用投入生产环境的风险降至最低。
24710编辑于 2024-12-12 - 来自专栏ops技术分享
Jenkins远程发布制品
一.简介 WEB服务很少会与Jenkins服务器在同一台机器,所以需要将构建好的制品包,发放到远程服务器进行部署。
69230发布于 2021-06-04 - 来自专栏CODING DevOps
八月更新 | CI 构建计划触发机制升级、制品扫描 SBOM 分析功能上线!
03 制品扫描提供软件成分分析 (SBOM) 软件研发过程中往往会使用大量开源组件,开源组件代码的比例高达 90% 左右。这在加速软件研发的同时也带来了潜在的安全风险。 为了帮助企业解决软件成分不透明、软件供应链风险追溯和治理效率低等问题,CODING 制品扫描推出软件成分分析(SBOM)重磅能力。 通过 SBOM,系统会分析制品的依赖组件,并提供各组件的版本、漏洞、license 统计等信息。 与此同时,系统还会分析制品与依赖的关联关系,包括组件依赖的组件及组件所关联的制品,为软件供应链风险追溯和安全治理提供有效依据。 代码扫描:问题列表支持筛选出无需修复或误报的问题,快速定位有效问题。 测试管理:测试用例支持按照序号排序;用例导入时标签上限提升至 300。
50020编辑于 2023-08-24 - 来自专栏CODING DevOps
八月更新 | CI 构建计划触发机制升级、制品扫描 SBOM 分析功能上线!
03 制品扫描提供软件成分分析 (SBOM) 软件研发过程中往往会使用大量开源组件,开源组件代码的比例高达 90% 左右。这在加速软件研发的同时也带来了潜在的安全风险。 为了帮助企业解决软件成分不透明、软件供应链风险追溯和治理效率低等问题,CODING 制品扫描推出软件成分分析(SBOM)重磅能力。 通过 SBOM,系统会分析制品的依赖组件,并提供各组件的版本、漏洞、license 统计等信息。 与此同时,系统还会分析制品与依赖的关联关系,包括组件依赖的组件及组件所关联的制品,为软件供应链风险追溯和安全治理提供有效依据。 代码扫描:问题列表支持筛选出无需修复或误报的问题,快速定位有效问题。 测试管理:测试用例支持按照序号排序;用例导入时标签上限提升至 300。
35720编辑于 2023-08-25 - 来自专栏JAVA乐园
发布制品到私服 Nexus
在项目中,有些通用的代码模块,有时候不想通过拷贝这么简单的方式粗暴地实现复用。因为这样不仅体现不了 jar 包的 class 变更的实时性,而且也不利于 jar 统一管理。使用maven deploy的方式,将通用的模块打成 jar 包,发布到 Nexus 服务,让其他的项目来引用,以简洁、高效的方式来实现 jar 复用和管理。
59420编辑于 2022-04-15 - 来自专栏ops技术分享
Jenkins制品管理(上)
一.简介 制品是软件开发过程中产生的多种有形副产品之一。广义的制品还包括用例、UML图、设计文档等。而狭义的制品就可以简单地理解为二进制包。 本章讨论的是狭义的制品。行业内有时也将制品称为产出物或工件。 最简单的制品管理仓库就是将制品统—放在一个系统目录结构下。但是很少有人这样做,更多的做法是使用现成的制品库。 制品管理涉及两件事情:一是如何将制品放到制品库中;二是如何从制品库中取出制品。由于每种制品的使用方式不一样,因此下面我们分别进行介绍。 二.Jenkins管理制品 从手工打包到自动化打包,再将打好的包放到制品库中。这看似简单,但是要在团队中从无到有地落地其实是一个很漫长的过程,特别是对于存在很多遗留项目的团队。 它能对制品进行归档,然后你就可以从Jenkins页面上下载制品了。
1.7K20发布于 2021-06-02 - 来自专栏ops技术分享
Jenkins制品管理(下)
四.拷贝制品 在某些场景下,我们需要从另一个pipeline中拷贝制品,Copy Artifact插件 可以帮助我们实现 steps { copyArtifacts( projectName fingerprintArtifacts:布尔类型,是否对制品进行签名,默认值为true resultVariableSuffix :上例中,无法得知我们到底拿的是core项目的哪次构建的制品。 stable为true表示只取构建成功的制品,为false表示只要构建结果比UNSTABLE好就行。 specific:指定某一次构建的制品。 buildNum ber表示指定取第n次构建的制品 lastCompleted:最后一次完成构建的制品,不论构建的最终状态如何。 2.方便找出制品与源码的关系。
1.4K20发布于 2021-06-02 - 来自专栏JAVA乐园
发布制品到 Jfrog Artifactory
输入密码(要点击小锁图标才会生成密码,否则即使输入了也不会生成密码),然后点击Generate Settings
1K31编辑于 2022-04-15 - 来自专栏ops技术分享
Jenkins制品管理(中)
当version值是以-SNAPSHOT后缀结尾时,则发布到nexus-snapshot仓库 2.配置访问Nexus的用户名和密码才能发布制品,需要在Maven的settings.xml中加入: <servers Manage Jenkins→Configure System→Sonatype Nexus页,设置Nexus 3.x的服务器地址 需要注意的是: 在“Credentials”选项处,增加了一个具有发布制品到 该仓库的地址是:<你的Nexus地址>/repository/raw-examplel 使用HTTP客户端就可以将制品上传到raw仓库中,使用curl命令 1.在Jenkins上添加“Username curl命令的格式为: curl --user '<username:password>' --upload-file <待上传制品的路径〉〈将制品保存到Nexus上的全路径> 将制品保存到Nexus 3.在Nexus中,我们看到readme.md文件已经上传成功 在Jenkins pipeline中获取原始制品时,我们同样使用curl命令。
1.3K30发布于 2021-06-02 - 来自专栏JAVA乐园
Nexus 私有制品库搭建
Nexus 是Maven 仓库管理器,管理开发所需要的构件。如果每次都是从 Apache 提供的 Maven中央仓库去下载所需要的构件,那么这通常不是一个好的做法。应该在本地架设一个Maven仓库服务器,再代理远程仓库的同时维护本地仓库,以节省带宽和时间,那么Nexus可以满足这样的需求。
1.8K20编辑于 2022-04-15 - 来自专栏DevOps
制品库选型指南:现代企业如何构建高效可靠的制品管理平台?
嘉为蓝鲸CPack制品管理平台1)核心定位:面向企业级客户的一体化制品库平台,提供安全、可控、高效的制品全生命周期管理能力,并深度契合国内企业的合规性要求。 2)核心优势:多类型制品统一管理:支持20+种制品类型,包括Docker镜像、Maven包、鸿蒙OHPM 包、Rust的Cargo 包及 HuggingFace 大模型文件等,尤其在国产新兴技术栈(如鸿蒙生态 企业级安全治理:自动触发漏洞扫描,高危漏洞实时拦截,低危漏洞可通过审批白名单灵活放行。内置国密算法(如 SM4),默认满足等保 2.0 要求,无需额外配置即可通过合规审计。 JFrog Artifactory定位:业界标杆,功能最全面的商业制品库产品。优势:支持广泛的制品类型,功能极其丰富;高性能、高可用设计成熟;拥有强大的元数据管理和查询能力;生态系统非常完善。 优势:纯开源;在容器镜像领域功能专业(镜像同步、漏洞扫描、不可变镜像);与Kubernetes生态集成极佳。不足:主要专注于容器镜像,并非全类型制品库;需要自行维护和搭建高可用集群。
44710编辑于 2025-10-22 - 来自专栏数控编程社区
塑料制品的切削加工
塑料制品或制件的机械加工,可分为单刃工具加工和多刃工具加工两大类。单刃工具加工有车、刨、无齿锯加工等。多刃工具加工有剪、铣、冲钻、攻螺纹、有齿锯加工等。
72020编辑于 2022-03-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号